场景:我需要通过公共互联网将内部 Active Directory 发布到 SaaS 平台。我将使用 OpenLDAP 来过滤访问。对 OpenLDAP 的访问将受到防火墙 IP 白名单的限制。
我已设法配置 OpenLDAP 以仅允许访问所需的对象(SaaS 平台所需的组和帐户,仅所需的属性)。
但是我不知道是否可以限制哪些帐户可以对代理进行身份验证。到目前为止,Active Directory 中的任何帐户都可以绑定。我不完全信任 SaaS 平台,我想限制通过 SaaS 平台进行的可能的密码猜测攻击。我尝试了以下语法,但仍然任何人都可以绑定:
access to dn.exact="objectDN"
by * auth
access to *
by * none
有没有办法限制允许验证的账户?